XiebroC2
[+] 2024.2.18 XiebroC2-3.1发布
[+] 2024年2月20日 XiebroC2-3.1 修复bug:xiebroc2
[+] 2024.2.29 XiebroC2更新,添加Websocket通信协议,支持域前置和cdn上线、修复3.1中的个bug:xiebroc2-v3.1.1
[+] 2024年3月7日
随缘更新中。。。
如果您喜欢该项目的话,可以右上角star+叉子+关注,非常感谢!
-
被控端(客户端)由Golang编写,考虑兼容WIndows、Linux、MacOS上线(未来会移动端上线)
-
团队服务器(Teamserver)由.net 8.0编写、AOT编译,内存占用低,不需要安装任何依赖,几乎可以兼容全平台系统
-
控制端(Controller)支持刷新shell,文件管理、进程管理、网络流量监控、内存加载、自定义UI背景色等功能
-
支持Windows/Linux内存加载PE文件,即文件未落地执行木马,中转第三方C2/RAT
-
支持内存执行.net程序集(execute-assemble、inline-assemble)
-
支持通过lua扩展UI控件、Session命令,生成(类似于CobaltStrike的cna脚本)
-
支持自定义RDIshellcode(仅64位,32位需要手动编译客户端)或者用donut、Godonut生成属于自己的shellcode
-
支持Teamserver托管二进制文件、文本、图片(类似SimpleHttpServer)
-
支持团队服务器自定义配置文件、自定义Telegram的聊天ID/Token上线通知
-
控制端(Controller)UI轻量级交互界面,内存占用大约是CobaltStrike的60分之一,是Metasploit的10分之一
-
Golang 的编译器特征已经被部分 AV/EDR 厂商标黑了,因此免杀效果较差
客户端(会话)
| Windows(x86_x64) | Linux(x86_x64) | 苹果系统 |
|---|---|---|
| Windows11 | 乌班图 | AMD64 |
| Windows10 | 德班 | i386 |
| Windows8/8.1 | 中央操作系统 | M1 |
| Windows 7的 | ppc64le | M2 |
| Windows XP | 米普斯 | |
| Windows Server 2000-2022 | s390x |
-
无需安装任何环境直接使用:XiebroC2
-
修改TeamServerIP和TeamServerPort为VPS的IP和端口,然后保存为profile.json
-
需要解释的几个参数:
1.如果配置文件(profile.json)中的Fork为true,则在执行runpe和nps的时候会创建一个子进程,并且进行注入,这就是传统的Fork&&Run模式,如果Fork为flase,则为内联(内联)加载模式,如果在有严格AV/EDR的环境下,内联加载的方式显然更加的OPSEC
2.如果您需要上线Telegram提醒,您还需要去学习,TG的机器人提醒消息,在配置文件中填上Telegram_Token和Telegram_chat_ID
3.shellcode目前只支持x64位,原谅我的懒惰,我觉得x86环境是比较稀缺需求,因此这里就忽略掉了,至于rdiShellcode64是怎么生成的,你需要仔细研究sRDI的原理,这不是一句话能说清楚的
4.windows\Session\Reverse_tcp不支持域前置,您需要添加windows\Session\Reverse_Ws监听器才能使用域前置和cdn上线。
在配置文件(profile.json)中可以自定义路由来修改websocket路由的特征。
{
"TeamServerIP": "192.168.1.250",
"TeamServerPort": "8880",
"Password": "123456",
"StagerPort": "4050",
"Telegram_Token": "",
"Telegram_chat_ID": "",
"Fork": false,
"Route": "www",
"Process64": "C:\\windows\\system32\\notepad.exe",
"Process86": "C:\\Windows\\SysWOW64\\notepad.exe",
"WebServers": [],
"listeners": [],
"rdiShellcode32": "",
"rdiShellcode64": "",
}
服务端:
Teamserver.exe -c profile.json
演示.mp4
| 命令 | 用法 | 描述 |
|---|---|---|
| NPS | nps“powershell 命令” | 在内存中非托管运行 powershell |
| 内联组装 | 内联汇编“FilePath”“args” | 内联执行.net 程序集 |
| 执行汇编 | 执行程序集“FilePath”“args” | Fork 子进程执行 loader .net 程序集 |
| 伦佩 | runpe “文件路径” “args” | Windwos 内存中的加载器 C/C++ PE |
| 壳 | shell“cmd命令” | 执行命令 |
| 电源外壳 | powershell “powershell 命令” | 执行powershell命令 |
| 检查AV | 检查AV | 检测 AV/EDR 进程 |
| 上传 | 上传“RemotePath”“FilePath” | 上传文件到目标 |
| 记忆力 | memfd“文件路径”“参数” | Linux内存中的PE加载器 |
| 帮助 | 帮助 | 查看命令列表 |
| CLS | CLS | 清晰的屏幕 |
插件.mp4
上传.mp4
- 学习编写lua插件: Xiebro-Plugins
- 目前正向转发代理和端口转发尚未开放,未来考虑完善和开发该功能。
- 目前仅支持TCP/WebSocket协议的Session模式,它们是https的替代品,后续考虑开发可靠的UDP协议并支持Beacon模式
- 考虑开发Powershell、VBscript、Hta、Jscript等。
- 开放更多表单和API接口,以便lua扩展插件
本项目仅用于渗透测试演练的学习交流和研究,强烈不建议您实现任何实际路径(包括黑灰产交易、非法渗透攻击、割韭菜),网络不是法外之地!工具则应自觉遵守以上要求。
为了避免该工具被非法分子利用,所以本人已经将持续增加的功能删除,只留下部分功能作为渗透测试演练演示,teamserver和Controller不进行开源,不过仍然欢迎志同道合的朋友加入我们的开发小组一起交流。